Jak coś działa to po co zmieniać, WellMess nadal wykorzystywany w atakach!
Grupa cyberszpiegowska znana jako APT29 lub Cozy Bear nadal aktywnie dostarcza „szkodnika” o nazwie WellMess, mimo że ten malware został szczegółowo opisany w zeszłym roku.
WellMess, znany również jako WellMail, to lekkie złośliwe oprogramowanie, które umożliwia operatorom wykonywanie „poleceń powłoki”, a także przesyłanie i pobieranie plików w zaatakowanym systemie. Złośliwe oprogramowanie zostało po raz pierwszy opisane w 2018 r., kiedy zostało wykryte w atakach wymierzonych w organizacje japońskie, ale w tym czasie nie było powiązane z konkretnym podmiotem atakującym.
WellMess został przypisany rosyjskiemu APT29 w 2020 roku, kiedy Stany Zjednoczone, Wielka Brytania i Kanada poinformowały, że był wykorzystywany przez hakerów w atakach wymierzonych w akademickie i farmaceutyczne instytucje badawcze zaangażowane w opracowywanie szczepionek przeciw COVID-19.
Złośliwe oprogramowanie zostało ponownie wspomniane w tym roku, kiedy agencje w USA i Wielkiej Brytanii opublikowały raport opisujący działalność APT29, która prawdopodobnie stała również za atakiem na firmę zarządzającą IT w SolarWinds.
W raporcie wspomniano o WellMess, ponieważ – najwyraźniej w odpowiedzi na ujawnienie ich operacji wymierzonej w producentów szczepionek – hakerzy zaczęli używać otwartej platformy symulacyjnej przeciwnika o nazwie Sliver, aby utrzymać dostęp do istniejących ofiar.
Szkodliwe oprogramowanie było wykorzystywane w wysoce ukierunkowanych atakach i pomimo ujawnienia go przez rządy i firmy zajmujące się cyberbezpieczeństwem.
RiskIQ, firma zajmująca się badaniem zagrożeń, przejęta niedawno przez Microsoft, odkryła ponad 30 serwerów dowodzenia i kontroli (C&C), które są aktywnie wykorzystywane przez hakerów do dostarczania złośliwego oprogramowania WellMess. Chociaż firma jest przekonana, że serwery należą do APT29 i nadal są aktywnie wykorzystywane, nie ma wystarczających informacji, aby określić, w jaki sposób wykorzystywana jest wykryta infrastruktura.
Powstanie Centralne Biuro Zwalczania Cyberprzestępczości!
Niemałe zamieszanie wywołała konferencja premiera Mateusza Morawieckiego w polskim środowisku cyberbezpieczeników. 27 lipca premier ogłosił: „Chcemy, żeby Policja miała odpowiednie instrumenty, najlepsze rozwiązania i kompetencje do walki z cyberprzestępczością, żebyśmy mogli jak najlepiej odpowiadać na te zagrożenia”. W konferencji wzięli także udział Mariusz Kamiński – minister spraw wewnętrznych i administracji oraz Janusz Cieszyński – sekretarz stanu w KPRM, pełnomocnik rządu do spraw cyberbezpieczeństwa. Zgodnie z informacjami udostępnionymi na stronie Ministerstwa Spraw Wewnętrznych, Centralne Biuro Zwalczania Cyberprzestępczości (CBZC) będzie jednostką Policji odpowiedzialną za rozpoznawanie, zapobieganie i zwalczanie cyberprzestępczości. Zgodnie z projektem zmiany ustawy o Policji, nową jednostką będzie kierować komendant Centralnego Biura Zwalczania Cyberprzestępczości jako organ podległy komendantowi głównemu Policji. Komendanta CBZC będzie powoływał (spośród oficerów Policji) i odwoływał minister właściwy do spraw wewnętrznych, na wniosek komendanta głównego Policji. Komendant CBZC będzie posiadał również pełne kompetencje kadrowo-szkoleniowe w stosunku do policjantów CBZC.
Centralne Biuro Zwalczania Cyberprzestępczości będzie jednostką jednolitą w skali kraju, z siedzibą w Warszawie. W procesie naboru do służby zwalczania cyberprzestępczości pod szczególną uwagę będą brane wiedza i umiejętności z zakresu informatyki i nowoczesnych technologii teleinformatycznych. Funkcjonariuszom CBZC będzie przysługiwać w pełni możliwość prowadzenia działań operacyjno-rozpoznawczych, dochodzeniowo-śledczych oraz administracyjno-porządkowych.
Pokusimy się o opisanie i analizę powyższych planów w osobnym artykule już wkrótce.
A tymczasem w Polsce…
CBZC na razie w planach, ale tematów dochodzeń na pewno im nie zabraknie. I to bliżej niż dalej. TVN24 poinformował, że w Komendzie Głównej Policji wykryto koparki kryptowalut osoba odpowiedzialna (cywilny pracownik IT) została zwolniona. I podobno to nie jedyne konsekwencje i nie jedyna osoba, o których prasa będzie w przyszłości informować. Sprawa jest rozwojowa jak to mówią z reguły rzecznicy prasowi prokuratury.
Z kolei Onet wykrył „Piłkarską aferę z dyplomami”. Z doniesień prasowych wydaje się, że sprawa oparta jest o zawartość telefonu Głównego Podejrzanego, przyłapanego podczas policyjnej prowokacji. Dla nas najbardziej zastanawiający jest przypadek jednego z polskich piłkarzy, który w dniu meczu polskiej kadry miał bronić dyplom z teologii adwentystycznej, chodź zdecydowanie bardziej do niego pasuje dyplom z stomatologii atawistycznej.